将PC加入Azure AD域的一些实践

将PC加入Azure AD域的一些实践

在移动优先、云优先的世界中，使用 Azure Active Directory (Azure AD) 可以实现从任意位置单一登录到设备、应用和服务。 随着自带设备 (BYOD) 等设备的普及，IT 专业人员面临着两个对立的目标：

1、使最终用户能够随时随地保持高效的工作

2、随时保持企业资产

用户可通过设备访问企业资产。为了保护企业资产，IT管理员需要控制这些设备。这可确保用户使用满足安全性和符合性标准的设备访问资源。

设备管理也是基于设备的条件性访问的基础。通过基于设备的条件访问，可确保只有受管理设备才能访问环境中的资源。

Azure AD和Windows Server AD对比如下：

AD域，可以实现更多的基于条件的应用访问已经各种炫酷功能。

下面来看一下怎么将一台设备加入Azure AD域吧。

然后，我打开之前的旧笔记本打开任意一个Office应用就会弹出以下提示信息，当然是要选择允许组织管理我的设备

然后输入我的邮箱账号密码完成后就会重新准备Office

现在我的电脑属性还是一个workgroup工作组模式

再回到Azure AD中查看所有设备，就能看到我的笔记本已经注册到Azure AD中了（其实任意一台电脑上只要安装了Office365客户端并进行登录激活都会限制注册到Azure AD），如下图

然后打开我的笔记本，查看系统属性，并选择连接到工作单位或者学校，然后输入Office365账号

然后再一次输入用户名密码

然后会有提示用户是否确认加入组织

然后最终将笔记本加入公司Office365的Azure AD域

这时候再打开系统属性，就能看到这台笔记本已经加入公司组织了

此时我的笔记本还是使用的一个本地账户登录的，接下来我们切换下使用域账号（Office365账户）登录看下效果

下面的图片都是手机拍照的，可能不是太清楚

输入Office365账户密码，下方也提示登录到工作账户或者学校账户

已经检索出我的DisplayName了哦

因为笔记本有指纹识别模块，所以会提示设置指纹解锁设备，这里可以设置也可以跳过

接下来就是Azure AD组织的策略了，必须设置Windows hello

开始设置账户

选择账户验证的方式

选择电话呼叫（这里默认的电话信息是来自于Azure AD用户身份验证预留信息，可以参考我之前的博客Office365启用SSPR（用户自助重置密码），里面会有介绍如何去配置这些信息）

然后微软系统对我的手机号码进行呼叫

如果我接通这里就完成了，如果我挂断，这里就通不过，But在切换账号过程中，，，整个系统是没有网络的，这也就直接导致接下来所有的验证失败

然后系统会提示跳过这个策略部分，但是后面要记得来设置这个Windows hello

接下来登录到系统后，我再进行Windows hello的设置

开始设置

继续设置PIN

对当前账号进行额外验证

选择短信方式

手机收到短信

填写验证码

完成以上所有账号验证后设置PIN码

设置完成

然后登录到Azure AD管理中心，查看用户的设备也显示为Azure AD Joined状态，这个才是真正的将设备加入Azure AD域。

接下来就可以启用一些自定义的高级功能，比如启动已经加入Azure AD计算机的BitLocker

将恢复密钥存储到Azure AD中，是不是很吊

进入Azure AD管理中心，查看已经加入Azure AD的设备已经将BitLocker恢复密钥存储上来了

文章开头说了，将设备加入Azure AD最主要的目的是通过配置基于条件的访问策略来控制用户到底能在哪里访问什么东西，如果没有将设备加入Azure AD，将不能很好的限制用户去访问整个Azure中的服务（不仅限于Office365的SaaS服务）

在移动优先、云优先的世界，用户可以从任意位置使用各种设备和应用访问组织的资源。 因此，仅关注谁可以访问资源不再能满足需求。为了掌握安全与效率之间的平衡，还需将资源的访问方式作为访问控制决策的考虑因素。使用Azure Active Directory (Azure AD) 条件访问便可处理该需求。条件访问是Azure Active Directory的一项功能。使用条件访问时，可以根据条件就云应用的访问实施自动化的访问控制决策。

完成第一因素身份验证后将强制执行条件访问策略。因此，条件访问不是针对拒绝服务 (DoS) ***等场景的第一道防线，而是可以利用来自这些事件的信号（例如，登录风险级别、请求的位置等）来确定访问权限。

下面的图可以很好的理解这个问题，当然也可以参考微软官方是对条件访问的描述

AD笔记本上编辑的文档直接保存在桌面的，这是一个很常规的动作，但是我在新的PC上打开Word（使用同一个Office365账号登录Office）发现我在其他电脑上的所有文档，都可以在这里很轻松的打开

然后打开查看里面的内容跟我在那台设备上编辑的一模一样，

不得不佩服！！！微软×××牛！！！真正的实现了资料随账号走！！！

最后，提个问题：如果我的账号在Office365中启用了MFA功能，那么我登录计算机的时候会不会进行多重身份验证？

等后面有机会了再测试下已加入Azure AD的设备基于条件的访问，以及各种策略下发吧！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。